Parameter:
HTTPDisableMethodsKurzbeschreibung: Deaktiviert ausgewählte HTTP-Methoden (z. B. TRACE, OPTIONS) auf dem Domino-Webserver. Greift nur, wenn der Server die Web-Configurations-View statt Internet Sites verwendet.
Steckbrief
Parameter | HTTPDisableMethods |
Komponente | Server (HTTP-Task) |
Kategorie | HTTP / Web |
Verfügbar seit | 9.0.x (gemäß KB0032789) |
Werte | Komma-separierte Liste von HTTP-Methoden, z. B. TRACE, OPTIONS |
Wirkung | Genannte Methoden werden mit HTTP 405 "Method Not Allowed" abgewiesen |
Voraussetzung | Server nutzt die Web-Configurations-View, nicht Internet Sites |
GUI-Entsprechung | Internet-Site-Dokument → Configuration-Tab → Abschnitt Allowed Methods |
Beschreibung
RFC 2616 definiert acht HTTP-Methoden:
GET, HEAD, POST, OPTIONS, PUT, DELETE, TRACE und CONNECT. Sicherheits-Scanner empfehlen häufig, einzelne dieser Methoden auf Webservern zu deaktivieren – allen voran TRACE, weil sie Cross-Site-Tracing ermöglichen kann.Mit
HTTPDisableMethods lassen sich diese Methoden auf einem Domino-Webserver gezielt sperren. Domino antwortet auf Anfragen mit gesperrter Methode mit dem Status-Code HTTP 405 "Method Not Allowed", wie es das HTTP/1.1-Protokoll vorsieht. Die Methode CONNECT wird ohnehin nie zugelassen.Beispiele
HTTPDisableMethods=TRACE HTTPDisableMethods=TRACE,OPTIONS HTTPDisableMethods=TRACE,DELETE,PUT
Wichtige Einschränkung: Web-Configurations vs. Internet Sites
HTTPDisableMethods wirkt nur, wenn der Server die Web-Configurations-View statt Internet Sites verwendet. Sind Internet Sites aktiv, übersteuern die Einstellungen aus dem Internet-Site-Dokument den notes.ini-Eintrag.So erkennen Sie die aktive Konfiguration: Öffnen Sie das Server-Dokument, Registerkarte Basics, und prüfen Sie das Feld Load Internet configurations from Server\Internet Sites documents:
- Wert Enabled → Server nutzt Internet Sites →
HTTPDisableMethodswirkt nicht.
- Wert Disabled → Server nutzt die Web-Configurations-View →
HTTPDisableMethodsist aktiv.
Bei aktiven Internet Sites lässt sich derselbe Effekt im Internet-Site-Dokument erzielen: Configuration-Tab → Abschnitt Allowed Methods. Die Methode
CONNECT ist dort nicht einzeln aufgeführt, da sie generell unterbunden ist.Quellen (HCL Product Documentation)
- HCL Customer Support – KB0032789 "How to enable or disable HTTP methods on a Domino web server" (Applies to: Domino 9.0.x, 10.0.x; HCL Domino 11.0.x und höher): support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0032789
- HCL Domino 14.5.1 – NOTES.INI Settings (Übersicht): help.hcl-software.com/domino/14.5.1/admin/conf_notesinisettings_c.html